刍议网络信息安全研究

摘　要： 文文对网络信息安全的含义和特征进行了论述，列举了目前网络安全所面临的威 胁并对此提出相应的对策。

关键词：网络信息；信息安全；网络技术
　　随着Internet应用的日益普及，nternet技术广泛应用于各行各业，为资源共享、信息交换和分布处理提供了良好的环境。计算机网络具备分布广域性、体系结构开放性、资源共享性和信道共用性的特点，因此增加了网络的实用性，同时也不可避免地带来系统的脆弱性，使其面临严重的安全问题。
1 网络信息安全的定义及特征
　　网络信息安全是指为数据处理系统的建立及所采用的技术和管理所做的安全保护，以保证计算机硬件，软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
网络信息安全的特征主要包括：
1.1 保密性。保密性是指只有授权用户才可以访问数据信息，用于防止未授权用户访问或复制数据。通常是通过加密技术来实现保密性。
1.2 完整性。完整性是指信息不被非法修改、删除、插人虚假信息，以及防止非法生成消息或重发，用于对抗破坏通信和重发的威胁。对于网络信息服务而言，数据完整性的重要性有时高于保密性。通常采用加密函数来保证数据的完整性。
1.3 可用性。可用性是指合法用户可以不受干扰地使用各种资源。一个具有可用性的网络信息服务系统应当能够在攻击发生后及时正确地恢复。一般通过加强系统的管理和设计来提高可用性。
1.4 授权。授权决定哪个用户可以访问特定的数据资源。授权决定了用户的权限，用户必须等到其身份被确认以后才可以进行被授权的操作。授权用来抵御系统入侵，访问控制列表和策略标签是常用机制。
1.5 认证。认证和授权紧密相关，认证用来确认用户的身份，用来对抗伪装和欺骗等威胁。认证包括实体认证(确认用户身份)和数据源认证(确认数据来自确定用户)。
1.6 抗抵赖。抗抵赖是指通信不能在通信过程完成后否认对通信过程的参与。抗抵赖包括起源抗抵赖(保证接受方利益，证明发送方身份，发送时间和发送内容)和传递抗抵赖(保护发送方利益，证明接受方身份，接受时间和接受内容)。
2．网络信息面临的威胁
　　随着信息产业的不断发展，网络威胁也日益严重，网络面临的威胁五花八门，概括起来主要有以下几类。
2.1 内部窃密和破坏。内部人员可能对网络系统形成下列威胁：内部涉密人员有意或无意泄密、更改记录信息；内部非授权人员有意无意偷窃机密信息、更改网络配置和记录信息；内部人员破坏网络系统。
2.2 窃听和截收。无源窃听是一种没有检测的窃听，它通常是为了获取网络中的信息内容。有源窃听是对信息流进行有目的地变形，能够任意改变信息内容，注人伪造信息，删除和重发原来的信息。也可以用于合法用户，或通过干扰阻止和破坏信息传输。截收攻击通过搭线或在电磁波辐射范围内安装截收装置等方式，截获机密信息，或通过对信息流和流向、通信频度和长度等参数的分析，推出有用的信息。
2.3 非法访问。非法访问指的是未经授权使用网络资源或以未授权的方式使用网络资源，它包括：非法用户如黑客进人网络或系统，进行违法操作；合法用户以未授权的方式进行操作。
2.4 破坏信息的完整性。攻击可能从三个方面破坏信息的完整性：篡改。改变信息流的次序、时序，更改信息的内容、形式；删除。删除某个消息或消息的某些部分；插人。在消息中插人一些信息，让接收方读不懂或接收错误的信息。
2.5 破坏系统的可用性。攻击者可能从下列几个方面破坏网络系统的可用性；使合法用户不能正常访问网络资源；使有严格时间要求的服务不能及时得到响应；摧毁系统。
2.6 冒充。攻击者可能进行下列冒充：冒充领导发布命令、调阅文件；冒充主机欺骗合法用户；冒充网络控制程序套取或修改使用权限、口令、密钥等信息，越权使用网络设备和资源；接管合法用户，欺骗系统，占用合法用户的资源。
2.7 重演。重演指的是攻击者截获并录制信息，然后在必要的时候重发或反复发送这些信息。
2.8 抵赖。可能出现下列抵赖行为:发信者事后否认曾经发送过某条信息;接收者事后否认曾经接收过某条信息。
2.9 其它威胁。对网络系统的威胁还包括计算机病毒、电磁泄露、各种灾害、操作失误等。
3 网络信息安全的技术策略
　　网络信息安全是对付威胁、克服脆弱性、保护网络资源的所有措施的总和，它涉及到政策、法律、管理、教育和技术等方面的内容。网络信息安全是一项系统工程，针对来自不同方面的安全威胁，需要采取不同的安全对策。从法律、制度、管理和技术上采取综合措施，以便相互补充，达到较好的安全效果。技术措施是最直接的屏障，目前常用而有效的网络信息安全技术策略有如下几种：
3.1 加密。加密方法多种多样，在网络信息中一般是利用信息变换规则把明文的信息变成密文的信息。既可对传输信息加密，也可对存储信息加密，把计算机数据变成一堆乱七八糟的数据，攻击者即使得到经过加密的信息，也不过是一串毫无意义的字符。加密可以有效地对抗截收、非法访问等威胁。
3.2 数字签名。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议，使得收发数据的双方能够满足两个条件：接受方能够鉴别发送方宣称的身份；发送方以后不能否认他发送过数据这一事实。数据签名一般采用不对称加密技术，发送方对整个明文进行加密变换，得到一个值，将其作为签名。接收者使用发送者的公开密钥对签名进行解密运算，如其结果为明文，则签名有效，证明对方身份是真实的。
3.3 鉴别。鉴别的目的是验明用户或信息的正身。对实体声称的身份进行惟一识别，以便验证其访问请求，或保证信息来自(或到达)指定的源(目的地)。鉴别技术可以验证消息的完整性，有效地对抗冒充、非法访问、重演等威胁。按照鉴别对象的不同，鉴别技术可以分为消息鉴别和通信双方相互鉴别；按照鉴别内容不同，鉴别技术可以分为用户身份鉴别和消息内容鉴别。鉴别的方法很多:利用鉴别码验证消息的完整性；利用通行字、密钥、访问控制机制等鉴别用户身份，防止冒充、非法访问；当今最佳的鉴别方法是数字签名。
3.4 访问控制。访问控制的目的是防止非法访问。访问控制是采取各种措施保证系统资源不被非法访问和使用。一般采用基于资源的集中式控制、基于资源和目的地址的过滤管理、以及网络签证等 技术来实现。
3.5 防火墙。防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公共网络的互连环境中。大型网络系统与Intemet互联的第一道屏障就是防火墙。防火墙通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理，其基本功能为：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警。
3.6 加强网络信息的安全管理。良好的系统管理有助于增强网络信息的安全性。制定系统安全策略、安装网络安全系统只是网络信息安全性实施的第一步。只有切实提高网络信息安全意识，建立完善的系统管理制度，加强对人员的安全教育，严格执行网络信息安全的各项规定，才能保证网络信息的整体安全性。
参考文献：
[1] 李湘江.网络安全技术与管理，现代图书情报技术，2002（2）.
[2] 李均炎.网络安全与防火墙，电脑知识与技术，2007（10）.
[3] 江和平.网络环境下的信息安全策略，教育信息化2004（1）.